Imediatismo de pagamentos instantâneos é desafio à segurança em todo mundo

Sistemas similares ao Pix já estão presentes em cerca de 60 países, como China, Índia, EUA, Reino Unido e México; especialistas chamam atenção para as brechas de segurança e a necessidade de adaptar as medidas de prevenção de vazamentos

Publicidade

PUBLICIDADE

Por Thaís Barcellos
4 min de leitura

BRASÍLIA - Os sistemas de pagamentos instantâneos como o Pix já estão presentes em cerca de 60 países e representam um desafio a mais em termos de segurança justamente pelo imediatismo das transações. Os modelos, contudo, diferem entre si em diversos aspectos, trazendo preocupações também variadas em cada iniciativa.

Esse ponto já foi levantado, inclusive, pelo Federal Reserve (Fed, banco central dos EUA), que prevê lançar um sistema parecido com o Pix em 2023, o FedNow. Hoje, os sistemas de pagamentos instantâneos nos EUA são privados.

Leia também

O Fed reconheceu as dificuldades “únicas” no combate à fraude em pagamentos instantâneos por serem “imediatos e irrevogáveis”, e defendeu que as medidas de prevenção devem ser ajustadas de acordo com as características de cada sistema de pagamentos instantâneos.

BC poderia fazer alterações no Pix para dificultar o uso 'das brechas' nos sistemas de segurança das instituições. Foto: Marcello Casal Jr./Agência Brasil - 4/11/2020

No Brasil, onde os vazamentos de dados vinculados a chaves Pix estão no centro do debate, especialistas fazem repetidas defesas sobre a robustez dos mecanismos de segurança do Banco Central, mas avaliam que as peculiaridades da ferramenta também trazem seus próprios desafios, inclusive de segurança.

Um dos desafios deve-se justamente à liquidação imediata das operações. Segundo levantamento do Banco de Compensações Internacionais (BIS) com 31 modelos de sistemas de pagamentos rápidos ou instantâneos (FSP, na sigla em inglês), 19 têm liquidação em tempo real e outros 12, diferida.

A pesquisa também mostra que a maioria dos sistemas de pagamentos instantâneos tem um limite financeiro para as transações, embora varie bastante – de US$ 400 por operação no México a US$ 300 mil no Reino Unido. Aqui, o BC só estabeleceu limites para o período noturno, após aumento de crimes, como sequestros relâmpagos, envolvendo a ferramenta. O BIS ainda afirma que, na minoria das iniciativas, o Banco Central atua tanto como regulador e operador direto do sistema, como é o caso do Brasil.

Continua após a publicidade

Segundo Rodrigoh Henriques, líder de inovações financeiras da Federação Nacional de Associações dos Servidores do Banco Central, a configuração exata do Pix não existe em nenhum lugar, já que sistemas financeiros são muito particulares aos seus próprios países.

“Essas camadas tecnológicas que nunca enxergamos garantem velocidade, confiança, autenticação ao sistema, mas todas as configurações abrem mais ou menos brechas. No nosso sistema, descobrimos que a brecha acabou ficando com as instituições financeiras, na requisição que tem que fazer ao BC [para seguir com a operação]."

Henriques destaca que o Brasil deve ser o terceiro maior país em transações instantâneas (o número supera 1 bilhão por mês), atrás da Índia e da China, e com uma das adoções mais rápidas da história – o que atrai inevitavelmente “malfeitores”. Segundo o BC, no primeiro ano, o volume de operações per capita foi maior do que iniciativas similares no mesmo período.

“Relativamente ao volume de transações, a brecha ainda é de vulnerabilidade conciliável. De novo, não estamos falando de brechas no sistema central do BC ou de transações não autorizadas [e sim de compartilhamento de dados cadastrais]. Não é minimizar o que está acontecendo, mas contextualizar.”

Como tudo indica que os criminosos estão se aproveitando de falhas de segurança das instituições financeiras para "sequestrar" a parte do sistema que faz a comunicação com o BC no Diretório de Identificadores de Contas Transacionais (DICT), base de dados com informações dos usuários recebedores do Pix, Henriques vê duas soluções possíveis.

A primeira seria a revisão do padrão de segurança de instituições financeiras, em especial em relação ao Pix. Mas não é um processo rápido. A depender de sua avaliação, o BC poderia promover mudanças no desenho do Pix para dificultar o uso “das brechas” nos sistemas de segurança das instituições.Isso poderia, contudo, “atrasar” os pagamentos ou torná-los mais custosos.

“Se o BC tivesse que fazer a validação dupla [recebendo a requisição do cliente e do banco], talvez não tivéssemos pagamentos em 10 segundos. Talvez em 30, 60, 90 segundos. E aí você começa a se perguntar se é instantâneo. Alguns países fazem isso. Dizem que a transação ocorreu, mas a liquidação só acontecerá à noite.”

Continua após a publicidade

Sanções

Citando iniciativas bem-sucedidas na Índia, China, EUA e Reino Unido, Ricardo Tavares, diretor da empresa de segurança cibernética Gemina, afirma que o peso das sanções para vazamentos de dados também pode ser uma diferença entre o Brasil e outras jurisdições. “Aqui no Brasil, não houve multas rígidas com relação à LGPD [Lei Geral de Proteção de Dados].”

Vitoria Bernardi, diretora Jurídica da consultoria britânica Russell Bedford Brasil, avalia que, em termos de regras, a LGPD brasileira é "praticamente irmã" da Regulamentação Geral de Proteção de Dados (GDPR, na sigla em inglês), a lei europeia pioneira em privacidade de dados pessoais, enquanto a norma americana é mais branda.A multa máxima na lei brasileira é de R$ 50 milhões, e, na europeia, de 20 milhões de euros. Bernardi avalia, contudo, que há diferença de maturidade das legislações.

Na Europa, já foram aplicadas cerca de mil multas relativas à Regulamentação Geral de Proteção de Dados (GDPR, na sigla em inglês), somando mais de 1,5 bilhão de euros. Já no Brasil, são cerca de 80 processos públicos ligados à LGPD ou a outras legislações que mencionam o tema, segundo levantamento da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).

"A União Europeia foi pioneira com a GDPR e o entendimento de que a privacidade de dados está dentro da área dos direitos humanos. Ela que está forçando outros países a se adaptar a isso. O Brasil se viu nessa situação de criar a LGPD principalmente pelo interesse de participar da OCDE. Vejo o Brasil correndo atrás para se atualizar.”

Segundo Bernardi, a Autoridade Nacional de Proteção de Dados (ANPD) ainda está se estruturando, portanto em uma fase mais de educação e regulamentação, não tanto de fiscalização. A LGPD foi sancionada em 2018, mas as sanções só entraram em vigor em agosto de 2021, mesmo mês em que ocorreram os primeiros vazamentos no âmbito do Pix.

Comentários

Os comentários são exclusivos para assinantes do Estadão.